信息系统安全审计管理制度

信息系统安全审计管理系统第一章工作组织第一条安全审计员的责任如下。1.制定信息安全审计的范围和日程。管理特定审计进程。3.分析审计结果，对完善信息安全管理系统提出意见。4.举行审计启动会议和审计摘要会议；向主管领导人报告审计结果和建议。6.向相关人员提供审计培训。第二个审核者指定审核负责人协助主审核者审核，其责任如下：1.准备稽核清单实施审计流程。完成审计报告。提出纠正和预防措施的建议。5.审查纠正和预防措施的执行情况。第三条法官来自相关部门，其责任如下。1.协助审查者的审计。实施校准和预防措施。3.提交纠正和预防措施的执行报告。第二章审计计划的制定第四条审计计划应包括：1.审计的目的；审计的范围；审计准则；审计时间；主要参与者和劳动分工。第五条审计计划的制定应考虑以下因素：1.每年至少要进行一次覆盖所有部门的审计。2.进行重大更改(例如体系结构、业务方向等)后，需要对所有部门进行全面审核。第三章安全审计的实施第6条审计准备：1.审阅者必须事先了解与审计范围相关的安全策略、标准和过程。请准备审计列表。主要内容包括：1)需要访问的人和调查问题；2)需要审查的文件和记录(包括日志)；3)需要现场查看的安全管理措施。第7条在进行实际审计之前举行启动会议，其内容主要如下。1.审查员对审计内容有异议的话，会和考官一起确认审计计划和采用的审计方法(例如，限制可访问人员、可调查系统等)。2.向评委说明，监查是通过现场检查完成的。第八条审计方式包括采访、现场检查、文件审查、记录(包括日志)审查。第九条审查者应详细记录与审计过程相关的所有信息。审计日志必须包含以下信息：1.审计时间；审计部门和工作人员；审计的主题；观察到的违规行为；5.相关文档和记录，如用户指南、备份记录、操作员日志、软件许可证、培训记录等；审计参考文件，如政策、标准和程序；请参阅相关标准条款。8.审计结果的初步摘要。如果怀疑与第10条相关安全标准不一致，审计员必须记录观察到的细节(例如位置、时间、涉及的人、事项和特定情况等)，并说明为什么不符合。对批准数，必须与审查官达成协议。第十一条各项审计结束后，应当准备审计报告，审计报告应包括：1.审计的范围；审计适用的安全领域；审计结果摘要；不合格、不合格的具体说明和相关证据；5.关于纠正和预防措施的建议。第十二条批准书是指与等级保护的基本要求不一致的情况。不一致可能是因为与以下相关规定不一致：1.等级保护的基本要求；信息安全战略；相关标准和程序；相关法律条款；本单位的相关规定；6.客户合同中规定的其他要求。第十三条不合格可以细分为“主要”或“辅助”。如果找到的无效对象属于以下对象之一，则无效对象必须分类为“主要”:1.系统、程序或控制措施的整体失败可能会发生。操作过程没有标准文档。累积相同类型的多个次要无效。4.未经授权更改信息安全管理系统。如果发现的不匹配属于单个事件，则该不匹配将归类为“辅助”，如下所示：1.未标识信息安全分类的文件；管理层未审查的事故报告；不完整的变更记录；不完整的机房出入记录。第十四条不批准的原因可分为：1.记录的标准和程序与信息安全策略不匹配。2.实际工作与记录的标准和程序要求不一致。实际工作没有得到预期的结果。第四章安全审计报告第15条举行审计摘要会议。要总结报告以下事项：1.审计的目标和范围；审计时间；参与审计的人；4.审计报告(包括关于纠正和预防措施的建议)；5.请提交审计报告副本，供审查员参考。第十六条在总结会议上，法官应详细说明任何问题。第五章纠正和预防措施第十七条纠正和预防措施应包括问题说明、根本原因、应急措施(可选)、纠正措施和预防措施。第十八条法官应当制定纠正和预防措施的实施计划。第十九条审判长应当在规定的时间内向考官提交纠正和预防措施执行报告。第六章审计纠正和预防措施的实施第二十条审查官应当在审判人提交报告的3个月内感谢纠正和预防措施的实施情况。第二十一条审计纠正和预防措施应包括访谈、现场检查、文件审查和记录(包括日志)的审查。第二十二条审查官根据审判人提交的纠正和预防措施实施报告收集、记录和审查相关证据。第七章审核结果第二十三条安全审计员应审查和分析所有审计结果。第二十四条审判员